Deutscher Bundestag – 17. Wahlperiode
119 ––
–– 119
Der neue Personalausweis unterscheidet sich von dem
Vorgängermodell im Wesentlichen durch den integrierten
Chip. Dieser Chip unterstützt drei Funktionen: Die hoheitliche Identitätskontrolle mittels biometrischer Merkmale (elektronisches Passfoto und – auf freiwilliger Basis –
Fingerabdruck), die qualifizierte elektronische Signatur
und den elektronischen Identitätsnachweis (eID-Funktion), mit dem der Inhaber sich elektronisch über das Internet ausweisen kann. Damit sollen sowohl elektronische
Behördengänge als auch Onlinedienstleistungen, etwa
das E-Banking, sicherer werden (vgl. 23. TB Nr. 3.2).
Dem Bundesverwaltungsamt (BVA) wurden bei der Realisierung des elektronischen Identitätsnachweises wichtige Aufgaben zugewiesen. Im Berichtszeitraum habe ich
geprüft, ob das BVA sich dabei an die datenschutzrechtlichen Vorgaben hält.
Bei der Vergabestelle für Berechtigungszertifikate beantragen Diensteanbieter die Berechtigung, die für ihre Aufgaben erforderlichen Daten im Wege des elektronischen
Identitätsnachweises mittels eines Berechtigungszertifikates anfragen zu dürfen.
Diensteanbieter können Behörden aber auch private Unternehmen sein. Entscheidend ist, dass die Übermittlung
bestimmter im neuen Personalausweis hinterlegter Daten
für den jeweiligen „Geschäftszweck“ erforderlich ist. In
seinem Antrag auf eine solche Berechtigung hat der
Diensteanbieter daher unter anderem die Datenkategorien
zu benennen, auf die zugegriffen werden soll und dabei
für jede Datenkategorie zu begründen, warum es für den
dargelegten Zweck erforderlich ist, die Daten zu erheben.
Die Prüfung der Erforderlichkeit bildet einen Schwerpunkt bei der Antragsprüfung durch die Vergabestelle für
Berechtigungszertifikate. Zum Nachweis der Erforderlichkeit haben die Diensteanbieter ihre Geschäftsprozesse
detailliert zu erläutern. Hierzu habe ich mir Anträge angesehen, bei denen sich aus einem Flussdiagramm eindeutig
ergab, in welchem Stadium des Prozesses welche Daten
wofür benötigt werden. Unter Vorlage des positiven
Bescheids der Vergabestelle kann der Diensteanbieter von
einem Berechtigungszertifikateanbieter (BerCA) das
elektronische Berechtigungszertifikat erwerben.
Als Sperrlistenbetreiber hat das BVA jedem Diensteanbieter eine für ihn errechnete, aktuelle Liste bereitzustellen,
die die Sperrmerkmale abhandengekommener Personalausweise mit eingeschaltetem elektronischem Identitätsnachweis enthält. Für Zwecke des Sperrmanagements
führt das BVA eine so genannte Referenzliste, in der die
Sperrsummen und Sperrschlüssel sämtlicher hergestellter
Ausweise gespeichert sind. Erfolgt eine Sperrmeldung
des Ausweisdokuments unter Mitteilung der Sperrsumme, wird mit Hilfe der Referenzliste der zugehörige
Sperrschlüssel ermittelt und die Sperrsumme als gesperrt
gekennzeichnet. Mit Hilfe des Sperrschlüssels wird das
Sperrmerkmal nach den Vorgaben in den Technischen
Richtlinien TR-03110 und TR-03111 berechnet und in der
globalen Sperrliste in der Datenbank beim BVA gespeichert. Zweimal täglich wird die globale Sperrliste aus der
Datenbank exportiert und als Kopie für die BerCA auf einem Downloadserver zur Verfügung gestellt. Der BerCA
Drucksache 17/13000
berechnet aus der zur Verfügung gestellten Kopie nach
den Vorgaben in der TR-03110 eine diensteanbieterspezifische Sperrliste, welche die Diensteanbieter abrufen.
Während des Authentisierungsprozesses bei der Nutzung
der Online-Ausweisfunktion berechnet der Chip im Personalausweis ein diensteanbieterspezifisches Merkmal.
Wird dieses in der diensteanbieterspezifischen Sperrliste
gefunden, ist der Personalausweis gesperrt.
Sowohl die Vergabe der Berechtigungszertifikate als auch
die Erstellung der Sperrlisten habe ich bei einer Kontrolle
des BVA überprüft. Erfreulicherweise habe ich keine Datenschutzmängel festgestellt.
8.6
Forschungsprojekte der Bundesregierung zur Aufarbeitung des
Umgangs mit der NS-Vergangenheit
von Mitarbeiterinnen und Mitarbeitern
in Bundesministerien
Gesetzliche Änderungen sind erforderlich, um die NSVergangenheit in Bundesbehörden wissenschaftlich aufarbeiten zu können.
Die Aufarbeitung der NS-Vergangenheit ist in den letzten
Jahren zu Recht ein wichtiges Thema für zahlreiche Bundesbehörden geworden und hat auch den Deutschen Bundestag beschäftigt.
Wenn Forschungsaufträge vergeben werden, mit denen
das Vorleben ehemaliger Mitarbeiter untersucht werden
soll, ist es regelmäßig erforderlich, auch Daten aus Personalakten zu verwenden. Nur so werden sich die Forscher
ein umfassendes Bild von den Mitarbeitern und deren
eventuellen Verstrickungen in NS-Unrecht machen können.
Nach dem Bundesbeamtengesetz gilt für Bundesbeamte
– wie analog auch für Tarifbeschäftigte – das Personalaktengeheimnis. Dieses sieht einen Zugang zu Personalakten nur unter sehr engen Voraussetzungen vor. Der Zugang zu Forschungszwecken ist nicht vorgesehen. Sofern
kein archivrechtlicher Zugang möglich ist, sehe ich auch
keine Möglichkeit, Forschern Personalakten aufgrund anderer Rechtsvorschriften zugänglich zu machen. Ein Forschungszugriff auf Personalaktendaten verstößt daher im
Regelfall gegen das Personalaktengeheimnis (§ 107 Absatz 1 Bundesbeamtengesetz).
Ich halte dieses juristisch zwingende Ergebnis für unbefriedigend. Im Hinblick auf das gesellschaftliche Bedürfnis an einer wissenschaftlichen Aufarbeitung der NS-Vergangenheit von Bundesbehörden habe ich gegenüber der
Bundesregierung angeregt, über eine entsprechende Änderung des Bundesbeamtengesetzes nachzudenken. Diese
könnte sich inhaltlich an § 32 Stasi-Unterlagen-Gesetz
orientieren, der eine ähnliche Interessenkollision angemessen regelt. Mit dieser modellhaften Regelung hat der
Gesetzgeber eine ausgewogene Lösung des Konfliktes
zwischen dem Anspruch der Allgemeinheit an einer historischen Aufarbeitung und dem Recht des Einzelnen auf
informationelle Selbstbestimmung getroffen.
BfDI 24. Tätigkeitsbericht 2011-2012